أبحاث «إسيت» تكتشف إطار عمل برنامج التجسس السيبراني “Ramsay”
اكتشف الباحثون في «إسيت» إطار عمل أحد برامج التجسس السيبراني لم يتم الإبلاغ عنه سابقًا يطلق عليه إسم “Ramsay”. تم تصميمه بحيث يقوم بجمع المستندات الحساسة من الأنظمة ذات “الثغرة الهوائية” وهي الشبكات الغير متصلة بالإنترنت أو أنظمة الشبكات الأخرى. عدد الضحايا حتى الآن منخفض للغاية، وتعتقد «إسيت» أن هذا الإطار يخضع لعمليات تطوير مستمرة.
وصرح “أليكسيس دوريس-جونكاس”، رئيس فريق الأبحاث لدي شركة «إسيت» في مونتريال، وقال:”وجدنا Ramsay في البداية من خلال عينة على موقع فحص ملفات الحاسوب المشتبه بها VirusTotal تم تحميلها من اليابان والتي أدت إلى اكتشافنا المزيد من المكونات والإصدارات الأخرى من الإطار جنبًا إلى جنب مع أدلة جوهرية لنستنتج منها أنه لا يزال في مرحلة التطوير”.
ووفقًا لنتائج «إسيت»، مر Ramsay بالعديد من التكرارات استنادًا إلى الحالات المختلفة لإطار عمله الذي تم العثور عليه، مما يشير إلى تقدمه وتعقيد قدراته. يبدو أن المطورين المسؤولين عن نقل العدوى يحاولون طرقًا مختلفة، مثل استخدام الثغرات القديمة لملفات “مايكروسوفت وورد” من عام 2017 ونشر تطبيقات طروادة للتسليم و يحتمل عن طريق التصيد. تختلف النسخ الثلاثة المكتشفة من Ramsay في التعقيد والتطور، والإصدار الثالث الأخير هو الأكثر تقدمًا، خاصة فيما يتعلق بالتهرب والمثابرة.
توفر بنية Ramsay سلسلة من القدرات التي تتم إدارتها عبر آلية تسجيل:
- جمع الملفات والتخزين السري: الهدف الأساسي من هذا الإطار هو جمع كل المستندات “مايكروسوفت وورد” الموجودة داخل النظام المستهدف.
- تنفيذ الأوامر: يطبق بروتوكول التحكم في Ramsay طريقة لا مركزية لفحص واسترداد الأوامر من وثائق التحكم.
- الانتشار: تقوم Ramsay بتضمين مكون يبدو أنه مصمم للعمل ضمن الشبكات ذات الثغرات الهوائية أي الغير متصلة بالإنترنت.
وأضاف “دوريس-جونكاس”، وقال: “من الجدير بالملاحظة بشكل خاص كيف أن التصميم الهندسي لـ Ramsay، وخاصة العلاقة بين قدرات الانتشار والتحكم، تسمح له بالعمل في شبكات ذات الثغرات الهوائية – أي الشبكات الغير متصلة بالإنترنت”..
